OCTAVE(オクターブ) おくたーぶ
簡単に言うとこんな感じ!
OCTAVEは「自社のどこに何のリスクがあるか」を自分たちで洗い出すためのリスク評価フレームワークだよ!外部の専門家に丸投げじゃなく、現場の人が主体になってリスクを整理できるのが特徴なんだ!
OCTAVEとは
OCTAVE(Operationally Critical Threat, Asset, and Vulnerability Evaluation)は、カーネギーメロン大学のCERT/CC(コンピュータ緊急対応チーム調整センター)が開発した、組織主導型の情報セキュリティリスクアセスメント(リスク評価)フレームワークです。1999年に公開され、組織が自らの手でセキュリティリスクを体系的に評価・管理できるよう設計されています。
最大の特徴は「セルフアセスメント(自己評価)」の思想です。外部のコンサルタントや専門家に依存するのではなく、組織内のビジネス部門・IT部門・経営層などが横断的に参加してリスクを洗い出します。これにより、現場の実態に即した、組織の文化や優先度を反映したリスク評価が可能になります。
OCTAVEは組織の規模や目的に応じていくつかのバリアントが存在し、大企業向けのOCTAVE(フル版)、中小企業向けのOCTAVE-S、よりシンプルに整理されたOCTAVE Allegroなどが提供されています。IT部門だけでなくビジネス部門の担当者も参加できる点が、システム発注・選定を担うビジネスパーソンにとっても関わりやすいフレームワークです。
OCTAVEの構造と評価プロセス
OCTAVEは大きく「3つのフェーズ」で構成されています。それぞれのフェーズで、組織のどこに何のリスクがあるかを段階的に明らかにしていきます。
| フェーズ | 名称 | 主な作業 | 参加者 |
|---|---|---|---|
| フェーズ1 | 組織ベースの脅威プロファイルの構築 | 重要資産の特定・現在のセキュリティプラクティスの確認 | 経営層・マネージャー・現場スタッフ |
| フェーズ2 | 情報インフラの脆弱性の特定 | ITシステム・ネットワークの技術的な脆弱性の洗い出し | ITスタッフ・システム管理者 |
| フェーズ3 | セキュリティ戦略とリスク軽減計画の策定 | リスクの分析・優先度付け・対策計画の立案 | 経営層・IT部門・ビジネス部門 |
OCTAVEの3つのキーワード「OAT」で覚えよう
OCTAVEの名前に含まれる3つの核心概念を覚えると、フレームワーク全体の意図がつかめます。
O → Operationally Critical(業務上重要な)
↓ まず「守るべき重要なものは何か」を特定する
A → Asset(資産)
↓ 情報・システム・人・設備など守るべき対象
T → Threat & Vulnerability(脅威と脆弱性)
↓ 資産に対するリスクの原因を整理する語呂合わせ:「音楽の音階(オクターブ)みたいに、低音(現場)から高音(経営)まで全体を評価する」と覚えると忘れにくいです!
OCTAVE Allegroの8ステップ
最も現在普及しているバリアントであるOCTAVE Allegroは、8つのステップでシンプルにリスクを評価します。
| ステップ | 内容 |
|---|---|
| 1 | リスク測定基準の設定(組織の価値観を明確化) |
| 2 | 重要情報資産のプロファイル作成 |
| 3 | 情報資産のコンテナ(保管・処理・転送場所)の特定 |
| 4 | 対象領域の確認 |
| 5 | 脅威シナリオの特定 |
| 6 | リスクの特定 |
| 7 | リスクの分析(影響度・可能性の評価) |
| 8 | リスク軽減アプローチの選択 |
歴史と背景
- 1999年:カーネギーメロン大学 CERT/CCがOCTAVE(フル版)を開発・公開。大企業向けに設計されており、評価チームへの参加者要件も厳格だった
- 2003年:中小企業・小規模組織向けに簡略化したOCTAVE-Sを公開。少人数のITスタッフでも実施できるよう設計された
- 2005年:さらに使いやすく整理したOCTAVE Allegroを公開。情報資産に焦点を当て、インタビューや調査票を使ったシンプルな評価プロセスを採用
- 2000年代後半〜現在:NIST SP 800シリーズやISO/IEC 27005などのリスク管理フレームワークと組み合わせて活用されるケースが増加。特に米国の政府機関・大学・医療機関での採用実績が多い
OCTAVEが生まれた背景には、「外部専門家に依存したリスク評価は高コストで継続が難しく、組織の実態を反映しにくい」という課題感がありました。現場を知る人間が主役となる評価手法は、当時としては画期的なアプローチでした。
OCTAVEと他のリスク評価フレームワークの比較
OCTAVEはリスク評価フレームワークの一つですが、よく比較される他のフレームワークと比べると、それぞれ得意領域や思想が異なります。
| 項目 | OCTAVE | ISO/IEC 27005 | NIST SP 800-30 | FAIR |
|---|---|---|---|---|
| 開発元 | CERT/CC(カーネギーメロン大) | ISO(国際標準化機構) | NIST(米国国立標準技術研究所) | FAIR Institute |
| 主な対象 | 組織全体(資産中心) | ISMSとの統合 | 連邦政府・民間双方 | 定量的リスク分析 |
| アプローチ | セルフアセスメント | ガイドライン型 | ガイドライン型 | 定量モデル型 |
| リスク表現 | 定性的(高・中・低) | 定性的 | 定性的・定量的 | 定量的(金額換算) |
| 導入難易度 | 中〜低(Allegroは低) | 中 | 中〜高 | 高 |
| 特徴 | 現場参加型・実態反映しやすい | 国際標準・認証と連携 | 米国基準に沿った体系 | リスクを金額で語れる |
ビジネスパーソンが押さえておくべきポイント
システム発注・選定の立場からOCTAVEを活用する場面として、以下のようなケースが考えられます。
- 新システム導入前:どの情報資産が影響を受けるかをOCTAVEで洗い出し、ベンダーへのセキュリティ要件に反映させる
- 委託先評価:委託先がOCTAVEに基づいたリスク評価を実施しているかを確認の観点にする
- 社内セキュリティ報告:経営層への報告資料に「OCTAVEに基づくリスク評価結果」として根拠を示す
関連する規格・RFC
| 規格・文書 | 内容 |
|---|---|
| NIST SP 800-30 | NISTが定めるリスクアセスメントのガイドライン。OCTAVEと補完的に使われることが多い |
| ISO/IEC 27005 | 情報セキュリティリスクマネジメントの国際規格。ISMSと統合してリスク評価を行う際の基準 |
| ISO/IEC 27001 | 情報セキュリティマネジメントシステム(ISMS)の要求事項規格。OCTAVEによる評価結果をISMS構築に活用できる |
関連用語
- 情報セキュリティリスクアセスメント — 組織の情報資産に対するリスクを体系的に洗い出し・評価するプロセス
- ISMS — 情報セキュリティマネジメントシステム。OCTAVEの評価結果をISMS構築に活用できる
- 脅威(Threat) — 情報資産に損害を与える可能性のある事象や行為
- 脆弱性(Vulnerability) — 脅威が実際に損害を与えるための「弱点」となる箇所
- NIST CSF — NISTが策定したサイバーセキュリティフレームワーク。OCTAVEと組み合わせて使われることも多い
- ISO/IEC 27001 — ISMSの国際規格。OCTAVEによるリスク評価結果を認証取得に活用できる
- FAIR — リスクを定量的・金額的に評価するフレームワーク。OCTAVEとは対照的な定量アプローチ
- 資産管理 — 組織が保有する情報資産・ITリソースを把握・管理する活動